CN113364758B - 一种基于堡垒机的网络安全运维管理系统 - Google Patents

一种基于堡垒机的网络安全运维管理系统 Download PDF

Info

Publication number
CN113364758B
CN113364758B CN202110607274.7A CN202110607274A CN113364758B CN 113364758 B CN113364758 B CN 113364758B CN 202110607274 A CN202110607274 A CN 202110607274A CN 113364758 B CN113364758 B CN 113364758B
Authority
CN
China
Prior art keywords
maintenance
unit
scene
data
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110607274.7A
Other languages
English (en)
Other versions
CN113364758A (zh
Inventor
刘智勇
陈良汉
张洪峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Hongrui Information Technology Co Ltd
Original Assignee
Zhuhai Hongrui Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Hongrui Information Technology Co Ltd filed Critical Zhuhai Hongrui Information Technology Co Ltd
Priority to CN202110607274.7A priority Critical patent/CN113364758B/zh
Publication of CN113364758A publication Critical patent/CN113364758A/zh
Application granted granted Critical
Publication of CN113364758B publication Critical patent/CN113364758B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于堡垒机的网络安全运维管理系统,属于运维管理技术领域。该系统包括运维人员安全认证层、运维数据采集层、运维数据存储分析处理层、运维过程安全管理层;所述运维人员安全认证层用于进行运维人员的安全认证登陆;所述运维数据采集层用于对运维过程中的数据进行采集;所述运维数据存储分析处理层用于对运维过程中产生的数据进行存储分析处理,对运维场景进行优化;所述运维过程安全管理层用于对运维过程中出现的异常行为进行监控和预警;本发明可以实现运维场景的优化,更加适用于每一个运维人员的运维操作,并且能够根据运维操作中时间间隔的变化进行安全运维管理。

Description

一种基于堡垒机的网络安全运维管理系统
技术领域
本发明涉及运维管理技术领域,具体为一种基于堡垒机的网络安全运维管理系统。
背景技术
堡垒机即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
堡垒机能够实现账号管理、身份认证、资源授权、访问控制、操作审计等一系列功能,然而在运维过程中,由于堡垒机自身的特殊性,各运维人员在终端进行登录认证,通过堡垒机对服务端主机进行控制,其能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,可是由于每个运维人员的习惯不同,操作步骤不同,运维过程中的内容也不同,因此在堡垒机同一场景下,会出现诸多不便,例如运维人员需要打开许多页面进行搜索查找,两个连续的操作却需要在两个页面进行打开,再用界面光标进行点击,十分不利于运维人员的操作,也容易出现卡顿现象,影响正常工作。
而且,一旦用户账户信息被窃取,通过堡垒机对服务端进行控制,可以更改主机信息,盗窃商业机密,服务端无法判断账号是否为真正的运维人员在操作,所以也不能及时做出反应。
因此,本发明提供了一种基于堡垒机的网络安全运维管理系统,能够在为运维人员提供便利的同时,也加强运维过程中的网络安全防护。
发明内容
本发明的目的在于提供一种基于堡垒机的网络安全运维管理系统,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于堡垒机的网络安全运维管理系统,该系统包括运维人员安全认证层、运维数据采集层、运维数据存储分析处理层、运维过程安全管理层;所述运维人员安全认证层用于进行运维人员的安全认证登陆;所述运维数据采集层用于对运维过程中的数据进行采集;所述运维数据存储分析处理层用于对运维过程中产生的数据进行存储分析处理,对运维场景进行优化;所述运维过程安全管理层用于对运维过程中出现的异常行为进行监控和预警;
所述运维人员安全认证层包括运维人员管理认证模块;所述运维数据采集层包括堡垒机协议模块、运维人员服务端口模块;所述运维数据存储分析处理层包括运维数据存储分析模块;所述运维过程安全管理层包括运维操作异常模块、运维安全管理模块;
所述运维人员管理认证模块用于对运维人员的账号进行记录存储并在登录时进行认证;所述堡垒机协议模快用于进行核心系统运维和安全审计管控,并配备不同协议单元用以兼容不同品牌、不同操作系统以及不同应用;所述运维人员服务端口模块用于建立主机与堡垒机之间的连接,并记录运维场景;所述运维数据存储分析模块用于对运维过程中产生的数据进行存储和分析,得出每个运维人员的场景偏好,进行一定的场景优化;所述运维操作异常模块用于检测运维人员在偏好的运维场景下的运维实际操作,对出现的异常行为进行记录;所述运维安全管理模块用于对运维过程中出现的异常行为进行管控和预警;
所述运维人员管理认证模块的输出端与所述堡垒机协议模块的输入端相连接;所述堡垒机协议模块的输出端与所述运维人员服务端口模块的输入端相连接;所述运维人员服务端口模块的输出端与所述运维数据存储分析模块的输入端相连接;所述运维数据存储分析模块的输出端与所述运维操作异常模块的输入端相连接;所述运维操作异常模块的输出端与所述运维安全管理模块的输入端相连接。
根据上述技术方案,所述运维人员管理认证模块包括用户账号登录单元、用户账号认证单元;
所述用户账号登录单元用于运维人员输入用户名和密钥进行账号登录;所述用户账号认证单元用于对运维人员的身份进行认证;
所述用户账号登录单元的输出端与所述用户账号认证单元的输入端相连接;所述用户账号认证单元的输出端与所述堡垒机协议模块的输入端相连接。
根据上述技术方案,所述堡垒机协议模块包括身份认证单元、身份匹配单元、协议单元;
所述身份认证单元用于对接入堡垒机的运维人员进行身份认证;所述身份匹配单元用于对接入堡垒机的运维人员和主机进行身份匹配;所述协议单元用于提供各种不同协议,以兼容不同品牌、不同操作系统以及不同应用的主机,包括但不限于字符主机协议单元、图形主机协议单元、文件传输协议单元、应用发布协议单元;
所述身份认证单元的输出端与所述身份匹配单元的输入端相连接;所述身份匹配单元的输出端与所述协议单元的输入端相连接;所述协议单元的输出端与所述运维人员服务端口模块的输入端相连接。
根据上述技术方案,所述运维人员服务端口模块包括身份确认单元、主机操作单元、场景转换单元;
所述身份确认单元用于对请求访问主机的运维人员进行身份确认;所述主机操作单元用于运维人员对主机进行各种远程操作;所述场景转换单元用于根据运维人员身份与操作进行场景转换;
所述身份确认单元的输出端与所述主机操作单元的输入端相连接;所述主机操作单元的输出端与所述场景转换单元的输入端相连接;所述场景转换单元的输出端与所述运维数据存储分析模块的输入端相连接。
根据上述技术方案,所述运维数据存储分析模块包括运维数据采集存储单元、运维数据操作分析单元、运维数据场景优化单元;
所述运维数据采集存储单元用于对运维过程中产生的数据进行采集和存储;所述运维数据操作分析单元用于对运维过程中运维人员在不同场景下的界面操作进行分析;所述运维数据场景优化单元用于在运维过程中根据运维人员身份进行运维场景的优化;
所述运维数据采集存储单元的输出端与所述运维数据操作分析单元的输入端相连接;所述运维数据操作分析单元的输出端与所述运维数据场景优化单元的输入端相连接;所述运维数据场景优化单元的输出端与所述运维操作异常模块的输入端相连接。
根据上述技术方案,所述运维数据采集存储单元包括日志文件接口、操作界面接口、运维场景接口、数据采集存储单元;
所述日志文件接口用于从运维人员进行运维的过程中实时获得主机中记录运维人员操作输入内容及其输入时间的日志;所述操作界面接口用于定时采样运维人员在运维过程中在界面上的光标点击位置坐标和滑行曲线,记录位置坐标以及采样时间,作为运维操作动作过程数据;所述运维场景接口用于定时采样运维人员操作时界面上呈现的运维场景中存在的全部对象,读取对象列表;所述数据采集存储单元用于将各接口的数据进行统一存储;
所述日志文件接口的输出端与操作界面接口的输入端相连接;所述操作界面接口的输出端与所述运维场景接口的输入端相连接;所述运维场景接口的输出端与所述数据采集存储单元的输入端相连接。
根据上述技术方案,所述运维数据操作分析单元包括运维操作记录单元、操作环境记录单元、操作链大数据生成单元;
所述运维操作记录单元从结构化数据存储文件当中提取记录的运维操作动作过程数据;所述操作环境记录单元用于根据运维操作的发生时间和采集时间,将操作数据映射到相同采集时间点的运维场景,确定当前运维操作数据相关联的特定运维场景;所述操作链大数据生成单元用于将同一个运维人员所有的运维操作和运维操作环境以结构化数据文件的形式进行存储,形成操作链大数据;
所述运维操作记录单元的输出端与所述操作环境记录单元的输入端相连接;所述操作环境记录单元的输出端与所述操作链大数据生成单元的输入端相连接;所述操作链大数据生成单元的输出端与所述运维数据场景优化单元相连接。
根据上述技术方案,所述运维数据场景优化单元包括场景偏好分析单元、场景数据库、场景优化替换单元;
所述场景偏好分析单元从各个结构化数据存储文件当中提取每个运维场景内包含的对象列表、对象状态以及运维人员在运维过程中在界面上的光标点击位置坐标和滑行曲线,根据对象列表和对象状态对每个运维场景对应的运维人员进行标注,根据在界面上的光标点击位置坐标和滑行曲线确定运维人员在每个运维场景下的舒适度;所述场景数据库用于存储每一个运维人员在不同运维场景下的舒适度;所述场景优化替换单元用于根据运维人员的身份和场景偏好分析单元的结果进行场景的替换;
所述场景偏好分析单元进行运维人员对场景偏好分析及场景替换的具体步骤如下:
S1、对当前运维人员进入的主机页面进行调取当前包含的对象列表和对象状态,记录下当前的运维场景;
S2、运维人员在当前的运维场景下进行运维操作的过程中,对界面上的光标点击位置坐标进行确定,并该位置坐标的对应对象进行记录,并记录相邻两次光标点击的时间间隔;
S3、设置时间阈值tmax,若存在步骤S2中的时间间隔小于tmax,则认为两组对象之间存在联系,记为[T1、T2],其中T1、T2代表相邻两次光标点击的坐标对应的两组对象;
S4、对光标在T1、T2两组对象间的滑行曲线进行记录,路程记为S,根据历史数据进行统计,在操作链大数据生成单元中,若[T1、T2]出现的频率超出阈值P,且S超出阈值Smax,则判断T1、T2两组对象在该运维人员的运维操作中存在联系,则进行场景优化,将对象T2调整至T1下方,其中P代表频率阈值,Smax代表路程阈值;
S5、将步骤S4中的场景优化过程单独存储在对应的运维人员目录下,在检测到该运维人员账号进行登录时,场景优化替换单元可以进行在该运维人员目录下选取场景进行替换;
首先,对每一个运维人员进行运维操作采集,得出他们在特定的运维场景下的运维操作,根据其界面光标的滑动距离,就可以说明其在操作过程中,操作是否过于繁琐,而相邻两次的界面光标点击,就可以断定两个对象之间是具备先后顺序的,若在操作过程中多次出现这两组对象先后点击的频率,那就可以证明这两组对象之间存在联系,则可以将两组对象调整到一起。
所述场景偏好分析单元的输出端与所述场景数据库的输入端相连接;所述场景数据库的输出端与所述场景优化替换单元的输入端相连接。
根据上述技术方案,所述运维操作异常模块包括时间管理单元、运维操作异常分析单元;
所述时间管理单元用于记录运维人员在每一个运维场景下的运维操作时间;所述运维操作异常分析单元用于分析在每一个运维场景下的运维人员操作的异常情况;
所述运维操作异常分析单元进行运维操作异常分析的步骤如下:
S9-1、调取时间管理单元的运维操作时间记录,对步骤S2中的时间间隔进行监控;
S9-2、若当前运维场景存在场景替换,且时间间隔超出历史时间间隔的平均值次数达到N,则记为异常行为,其中N为超时次数阈值;
因为场景是根据特定运维人员进行优化的,因此若出现运维时间超时过多,则证明当前运维人员并不熟悉这一运维场景,则出现异常运维操作,或是有人窃取运维人员账号进行登录,或是堡垒机分配出现问题,可以发出预警信息。
所述时间管理单元的输出端与所述运维操作异常分析单元的输入端相连接;所述运维操作异常分析单元的输出端与所述运维安全管理模块的输入端相连接。
根据上述技术方案,所述运维安全管理模块包括运维安全管理单元、预警单元;
所述运维安全管理单元用于对运维操作异常模块的异常结果进行管理,进行切断网络,防止数据流失;所述预警单元用于连接管理员终端,发出预警信息;
所述运维安全管理单元的输出端与所述预警单元的输入端相连接。
与现有技术相比,本发明所达到的有益效果是:
1、本发明能够避免多个用户使用同一账号进行审计带来的不便,提供统一的权限管理平台,实现更细粒度的命令级权限控制,充分保证系统安全性,制定统一的访问审计策略;
2、本发明能够根据每一个运维人员在不同运维场景下的运维操作,对点击对象进行记录,根据操作链大数据生成单元进行处理分析,生成适用于每一个运维人员的运维场景,并保存在该运维人员的目录下,在检测到该运维人员账号登陆以后,进行场景替换,能够更有利于运维人员的操作,防止出现页面切换过程中系统出现卡顿等现象;
3、本发明能够基于在场景替换下的运维人员操作时间间隔数据进行安全分析,如果出现多次操作时间间隔超出阈值,即说明当前运维人员并不熟悉当前运维场景,而运维场景又是基于运维人员所替换的,因此就可以判断当前运维过程出现异常,进行预警至管理员端。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。
在附图中:
图1是本发明一种基于堡垒机的网络安全运维管理系统的工作结构示意图;
图2是本发明一种基于堡垒机的网络安全运维管理系统的场景优化示意图;
图3是本发明一种基于堡垒机的网络安全运维管理系统的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-3,本发明提供技术方案:一种基于堡垒机的网络安全运维管理系统,该系统包括运维人员安全认证层、运维数据采集层、运维数据存储分析处理层、运维过程安全管理层;所述运维人员安全认证层用于进行运维人员的安全认证登陆;所述运维数据采集层用于对运维过程中的数据进行采集;所述运维数据存储分析处理层用于对运维过程中产生的数据进行存储分析处理,对运维场景进行优化;所述运维过程安全管理层用于对运维过程中出现的异常行为进行监控和预警;
所述运维人员安全认证层包括运维人员管理认证模块;所述运维数据采集层包括堡垒机协议模块、运维人员服务端口模块;所述运维数据存储分析处理层包括运维数据存储分析模块;所述运维过程安全管理层包括运维操作异常模块、运维安全管理模块;
所述运维人员管理认证模块用于对运维人员的账号进行记录存储并在登录时进行认证;所述堡垒机协议模快用于进行核心系统运维和安全审计管控,并配备不同协议单元用以兼容不同品牌、不同操作系统以及不同应用;所述运维人员服务端口模块用于建立主机与堡垒机之间的连接,并记录运维场景;所述运维数据存储分析模块用于对运维过程中产生的数据进行存储和分析,得出每个运维人员的场景偏好,进行一定的场景优化;所述运维操作异常模块用于检测运维人员在偏好的运维场景下的运维实际操作,对出现的异常行为进行记录;所述运维安全管理模块用于对运维过程中出现的异常行为进行管控和预警;
所述运维人员管理认证模块的输出端与所述堡垒机协议模块的输入端相连接;所述堡垒机协议模块的输出端与所述运维人员服务端口模块的输入端相连接;所述运维人员服务端口模块的输出端与所述运维数据存储分析模块的输入端相连接;所述运维数据存储分析模块的输出端与所述运维操作异常模块的输入端相连接;所述运维操作异常模块的输出端与所述运维安全管理模块的输入端相连接。
所述运维人员管理认证模块包括用户账号登录单元、用户账号认证单元;
所述用户账号登录单元用于运维人员输入用户名和密钥进行账号登录;所述用户账号认证单元用于对运维人员的身份进行认证;
所述用户账号登录单元的输出端与所述用户账号认证单元的输入端相连接;所述用户账号认证单元的输出端与所述堡垒机协议模块的输入端相连接。
所述堡垒机协议模块包括身份认证单元、身份匹配单元、协议单元;
所述身份认证单元用于对接入堡垒机的运维人员进行身份认证;所述身份匹配单元用于对接入堡垒机的运维人员和主机进行身份匹配;所述协议单元用于提供各种不同协议,以兼容不同品牌、不同操作系统以及不同应用的主机,包括但不限于字符主机协议单元、图形主机协议单元、文件传输协议单元、应用发布协议单元;
所述身份认证单元的输出端与所述身份匹配单元的输入端相连接;所述身份匹配单元的输出端与所述协议单元的输入端相连接;所述协议单元的输出端与所述运维人员服务端口模块的输入端相连接。
所述运维人员服务端口模块包括身份确认单元、主机操作单元、场景转换单元;
所述身份确认单元用于对请求访问主机的运维人员进行身份确认;所述主机操作单元用于运维人员对主机进行各种远程操作;所述场景转换单元用于根据运维人员身份与操作进行场景转换;
所述身份确认单元的输出端与所述主机操作单元的输入端相连接;所述主机操作单元的输出端与所述场景转换单元的输入端相连接;所述场景转换单元的输出端与所述运维数据存储分析模块的输入端相连接。
所述运维数据存储分析模块包括运维数据采集存储单元、运维数据操作分析单元、运维数据场景优化单元;
所述运维数据采集存储单元用于对运维过程中产生的数据进行采集和存储;所述运维数据操作分析单元用于对运维过程中运维人员在不同场景下的界面操作进行分析;所述运维数据场景优化单元用于在运维过程中根据运维人员身份进行运维场景的优化;
所述运维数据采集存储单元的输出端与所述运维数据操作分析单元的输入端相连接;所述运维数据操作分析单元的输出端与所述运维数据场景优化单元的输入端相连接;所述运维数据场景优化单元的输出端与所述运维操作异常模块的输入端相连接。
所述运维数据采集存储单元包括日志文件接口、操作界面接口、运维场景接口、数据采集存储单元;
所述日志文件接口用于从运维人员进行运维的过程中实时获得主机中记录运维人员操作输入内容及其输入时间的日志;所述操作界面接口用于定时采样运维人员在运维过程中在界面上的光标点击位置坐标和滑行曲线,记录位置坐标以及采样时间,作为运维操作动作过程数据;所述运维场景接口用于定时采样运维人员操作时界面上呈现的运维场景中存在的全部对象,读取对象列表;所述数据采集存储单元用于将各接口的数据进行统一存储;
所述日志文件接口的输出端与操作界面接口的输入端相连接;所述操作界面接口的输出端与所述运维场景接口的输入端相连接;所述运维场景接口的输出端与所述数据采集存储单元的输入端相连接。
所述运维数据操作分析单元包括运维操作记录单元、操作环境记录单元、操作链大数据生成单元;
所述运维操作记录单元从结构化数据存储文件当中提取记录的运维操作动作过程数据;所述操作环境记录单元用于根据运维操作的发生时间和采集时间,将操作数据映射到相同采集时间点的运维场景,确定当前运维操作数据相关联的特定运维场景;所述操作链大数据生成单元用于将同一个运维人员所有的运维操作和运维操作环境以结构化数据文件的形式进行存储,形成操作链大数据;
所述运维操作记录单元的输出端与所述操作环境记录单元的输入端相连接;所述操作环境记录单元的输出端与所述操作链大数据生成单元的输入端相连接;所述操作链大数据生成单元的输出端与所述运维数据场景优化单元相连接。
所述运维数据场景优化单元包括场景偏好分析单元、场景数据库、场景优化替换单元;
所述场景偏好分析单元从各个结构化数据存储文件当中提取每个运维场景内包含的对象列表、对象状态以及运维人员在运维过程中在界面上的光标点击位置坐标和滑行曲线,根据对象列表和对象状态对每个运维场景对应的运维人员进行标注,根据在界面上的光标点击位置坐标和滑行曲线确定运维人员在每个运维场景下的舒适度;所述场景数据库用于存储每一个运维人员在不同运维场景下的舒适度;所述场景优化替换单元用于根据运维人员的身份和场景偏好分析单元的结果进行场景的替换;
所述场景偏好分析单元进行运维人员对场景偏好分析及场景替换的具体步骤如下:
S1、对当前运维人员进入的主机页面进行调取当前包含的对象列表和对象状态,记录下当前的运维场景;
S2、运维人员在当前的运维场景下进行运维操作的过程中,对界面上的光标点击位置坐标进行确定,并该位置坐标的对应对象进行记录,并记录相邻两次光标点击的时间间隔;
S3、设置时间阈值tmax,若存在步骤S2中的时间间隔小于tmax,则认为两组对象之间存在联系,记为[T1、T2],其中T1、T2代表相邻两次光标点击的坐标对应的两组对象;
S4、对光标在T1、T2两组对象间的滑行曲线进行记录,路程记为S,根据历史数据进行统计,在操作链大数据生成单元中,若[T1、T2]出现的频率超出阈值P,且S超出阈值Smax,则判断T1、T2两组对象在该运维人员的运维操作中存在联系,则进行场景优化,将对象T2调整至T1下方,其中P代表频率阈值,Smax代表路程阈值;
S5、将步骤S4中的场景优化过程单独存储在对应的运维人员目录下,在检测到该运维人员账号进行登录时,场景优化替换单元可以进行在该运维人员目录下选取场景进行替换;
所述场景偏好分析单元的输出端与所述场景数据库的输入端相连接;所述场景数据库的输出端与所述场景优化替换单元的输入端相连接。
所述运维操作异常模块包括时间管理单元、运维操作异常分析单元;
所述时间管理单元用于记录运维人员在每一个运维场景下的运维操作时间;所述运维操作异常分析单元用于分析在每一个运维场景下的运维人员操作的异常情况;
所述运维操作异常分析单元进行运维操作异常分析的步骤如下:
S9-1、调取时间管理单元的运维操作时间记录,对步骤S2中的时间间隔进行监控;
S9-2、若当前运维场景存在场景替换,且时间间隔超出历史时间间隔的平均值次数达到N,则记为异常行为,其中N为超时次数阈值;
所述时间管理单元的输出端与所述运维操作异常分析单元的输入端相连接;所述运维操作异常分析单元的输出端与所述运维安全管理模块的输入端相连接。
所述运维安全管理模块包括运维安全管理单元、预警单元;
所述运维安全管理单元用于对运维操作异常模块的异常结果进行管理,进行切断网络,防止数据流失;所述预警单元用于连接管理员终端,发出预警信息;
所述运维安全管理单元的输出端与所述预警单元的输入端相连接。
在本实施例一中:
设置有运维人员A,登录账号进行运维操作;
运维数据采集存储单元调取运维人员A在运维操作过程中的日志文件,并定时采样运维人员在运维过程中在界面上的光标点击位置坐标和滑行曲线,记录位置坐标以及采样时间,定时采样运维人员操作时界面上呈现的运维场景中存在的全部对象,读取对象列表;将上述数据进行存储;
运维操作记录单元从结构化数据存储文件当中提取记录的运维操作动作过程数据;操作环境记录单元根据运维操作的发生时间和采集时间,将操作数据映射到相同采集时间点的运维场景,该运维场景记为H;即运维人员A在运维场景H下进行的运维操作;将上述操作及操作环境以结构化数据文件的形式进行存储,形成操作链大数据;
调取运维人员A进入的主机页面,在运维场景H下,对运维操作进行分析;运维人员A在当前的运维场景H下进行运维操作的过程中,对界面上的光标点击位置坐标进行确定,并该位置坐标的对应对象进行记录,并记录相邻两次光标点击的时间间隔;
设置时间阈值tmax,发现上述时间间隔小于tmax,则认为两组对象之间存在联系,记为[T1、T2],其中T1、T2代表相邻两次光标点击的坐标对应的两组对象;
对光标在T1、T2两组对象间的滑行曲线进行记录,路程记为S,根据操作数据进行统计,在操作链大数据生成单元中,[T1、T2]出现的频率超出阈值P,且S超出阈值Smax,因此判断T1、T2两组对象在该运维人员的运维操作中存在联系,则进行场景优化,将对象T2调整至T1下方,其中P代表频率阈值,Smax代表路程阈值;
将优化后的场景匹配到运维人员A的目录下方,并对应新场景为H1
在本实施例二中:
系统检测到运维人员A登录,场景替换单元将场景进行替换;
时间管理单元记录运维人员A在运维场景H1下的运维操作时间;
发现其时间分别为t1、t2、t3、t4、t5
其中t1、t2、t3、t4、t5均超出平均操作时间t0
设置N为超时次数阈值;N=3;
因此认为本次操作出现异常情况,运维安全管理模块进行预警,并发送相关预警信息至管理员终端。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于堡垒机的网络安全运维管理系统,其特征在于:该系统包括运维人员安全认证层、运维数据采集层、运维数据存储分析处理层、运维过程安全管理层;所述运维人员安全认证层用于进行运维人员的安全认证登陆;所述运维数据采集层用于对运维过程中的数据进行采集;所述运维数据存储分析处理层用于对运维过程中产生的数据进行存储分析处理,对运维场景进行优化;所述运维过程安全管理层用于对运维过程中出现的异常行为进行监控和预警;
所述运维人员安全认证层包括运维人员管理认证模块;所述运维数据采集层包括堡垒机协议模块、运维人员服务端口模块;所述运维数据存储分析处理层包括运维数据存储分析模块;所述运维过程安全管理层包括运维操作异常模块、运维安全管理模块;
所述运维人员管理认证模块用于对运维人员的账号进行记录存储并在登录时进行认证;所述堡垒机协议模快用于进行核心系统运维和安全审计管控,并配备不同协议单元用以兼容不同品牌、不同操作系统以及不同应用;所述运维人员服务端口模块用于建立主机与堡垒机之间的连接,并记录运维场景;所述运维数据存储分析模块用于对运维过程中产生的数据进行存储和分析,得出每个运维人员的场景偏好,进行一定的场景优化;所述运维操作异常模块用于检测运维人员在偏好的运维场景下的运维实际操作,对出现的异常行为进行记录;所述运维安全管理模块用于对运维过程中出现的异常行为进行管控和预警;
所述运维人员管理认证模块的输出端与所述堡垒机协议模块的输入端相连接;所述堡垒机协议模块的输出端与所述运维人员服务端口模块的输入端相连接;所述运维人员服务端口模块的输出端与所述运维数据存储分析模块的输入端相连接;所述运维数据存储分析模块的输出端与所述运维操作异常模块的输入端相连接;所述运维操作异常模块的输出端与所述运维安全管理模块的输入端相连接;
所述运维数据存储分析模块包括运维数据采集存储单元、运维数据操作分析单元、运维数据场景优化单元;
所述运维数据采集存储单元用于对运维过程中产生的数据进行采集和存储;所述运维数据操作分析单元用于对运维过程中运维人员在不同场景下的界面操作进行分析;所述运维数据场景优化单元用于在运维过程中根据运维人员身份进行运维场景的优化;
所述运维数据采集存储单元的输出端与所述运维数据操作分析单元的输入端相连接;所述运维数据操作分析单元的输出端与所述运维数据场景优化单元的输入端相连接;所述运维数据场景优化单元的输出端与所述运维操作异常模块的输入端相连接;
所述运维数据操作分析单元包括运维操作记录单元、操作环境记录单元、操作链大数据生成单元;
所述运维数据场景优化单元包括场景偏好分析单元、场景数据库、场景优化替换单元;
所述场景偏好分析单元从各个结构化数据存储文件当中提取每个运维场景内包含的对象列表、对象状态以及运维人员在运维过程中在界面上的光标点击位置坐标和滑行曲线,根据对象列表和对象状态对每个运维场景对应的运维人员进行标注,根据在界面上的光标点击位置坐标和滑行曲线确定运维人员在每个运维场景下的舒适度;所述场景数据库用于存储每一个运维人员在不同运维场景下的舒适度;所述场景优化替换单元用于根据运维人员的身份和场景偏好分析单元的结果进行场景的替换;
所述场景偏好分析单元进行运维人员对场景偏好分析及场景替换的具体步骤如下:
S1、对当前运维人员进入的主机页面进行调取当前包含的对象列表和对象状态,记录下当前的运维场景;
S2、运维人员在当前的运维场景下进行运维操作的过程中,对界面上的光标点击位置坐标进行确定,并该位置坐标的对应对象进行记录,并记录相邻两次光标点击的时间间隔;
S3、设置时间阈值tmax,若存在步骤S2中的时间间隔小于tmax,则认为两组对象之间存在联系,记为[T1、T2],其中T1、T2代表相邻两次光标点击的坐标对应的两组对象;
S4、对光标在T1、T2两组对象间的滑行曲线进行记录,路程记为S,根据历史数据进行统计,在操作链大数据生成单元中,若[T1、T2]出现的频率超出阈值P,且S超出阈值Smax,则判断T1、T2两组对象在该运维人员的运维操作中存在联系,则进行场景优化,将对象T2调整至T1下方,其中P代表频率阈值,Smax代表路程阈值;
S5、将步骤S4中的场景优化过程单独存储在对应的运维人员目录下,在检测到该运维人员账号进行登录时,场景优化替换单元可以进行在该运维人员目录下选取场景进行替换;
所述场景偏好分析单元的输出端与所述场景数据库的输入端相连接;所述场景数据库的输出端与所述场景优化替换单元的输入端相连接;
所述运维操作异常模块包括时间管理单元、运维操作异常分析单元;
所述时间管理单元用于记录运维人员在每一个运维场景下的运维操作时间;所述运维操作异常分析单元用于分析在每一个运维场景下的运维人员操作的异常情况;
所述运维操作异常分析单元进行运维操作异常分析的步骤如下:
S9-1、调取时间管理单元的运维操作时间记录,对步骤S2中的时间间隔进行监控;
S9-2、若当前运维场景存在场景替换,且时间间隔超出历史时间间隔的平均值次数达到N,则记为异常行为,其中N为超时次数阈值;
所述时间管理单元的输出端与所述运维操作异常分析单元的输入端相连接;所述运维操作异常分析单元的输出端与所述运维安全管理模块的输入端相连接;
所述运维安全管理模块包括运维安全管理单元、预警单元;
所述运维安全管理单元用于对运维操作异常模块的异常结果进行管理,对数据进行管控,防止数据流失;所述预警单元用于连接管理员终端,发出预警信息;
所述运维安全管理单元的输出端与所述预警单元的输入端相连接。
2.根据权利要求1所述的一种基于堡垒机的网络安全运维管理系统,其特征在于:所述运维人员管理认证模块包括用户账号登录单元、用户账号认证单元;
所述用户账号登录单元用于运维人员输入用户名和密钥进行账号登录;所述用户账号认证单元用于对运维人员的身份进行认证;
所述用户账号登录单元的输出端与所述用户账号认证单元的输入端相连接;所述用户账号认证单元的输出端与所述堡垒机协议模块的输入端相连接。
3.根据权利要求1所述的一种基于堡垒机的网络安全运维管理系统,其特征在于:所述堡垒机协议模块包括身份认证单元、身份匹配单元、协议单元;
所述身份认证单元用于对接入堡垒机的运维人员进行身份认证;所述身份匹配单元用于对接入堡垒机的运维人员和主机进行身份匹配;所述协议单元用于提供各种不同协议,以兼容不同品牌、不同操作系统以及不同应用的主机,包括但不限于字符主机协议单元、图形主机协议单元、文件传输协议单元、应用发布协议单元;
所述身份认证单元的输出端与所述身份匹配单元的输入端相连接;所述身份匹配单元的输出端与所述协议单元的输入端相连接;所述协议单元的输出端与所述运维人员服务端口模块的输入端相连接。
4.根据权利要求1所述的一种基于堡垒机的网络安全运维管理系统,其特征在于:所述运维人员服务端口模块包括身份确认单元、主机操作单元、场景转换单元;
所述身份确认单元用于对请求访问主机的运维人员进行身份确认;所述主机操作单元用于运维人员对主机进行各种远程操作;所述场景转换单元用于根据运维人员身份与操作进行场景转换;
所述身份确认单元的输出端与所述主机操作单元的输入端相连接;所述主机操作单元的输出端与所述场景转换单元的输入端相连接;所述场景转换单元的输出端与所述运维数据存储分析模块的输入端相连接。
5.根据权利要求1所述的一种基于堡垒机的网络安全运维管理系统,其特征在于:所述运维数据采集存储单元包括日志文件接口、操作界面接口、运维场景接口、数据采集存储单元;
所述日志文件接口用于从运维人员进行运维的过程中实时获得主机中记录运维人员操作输入内容及其输入时间的日志;所述操作界面接口用于定时采样运维人员在运维过程中在界面上的光标点击位置坐标和滑行曲线,记录位置坐标以及采样时间,作为运维操作动作过程数据;所述运维场景接口用于定时采样运维人员操作时界面上呈现的运维场景中存在的全部对象,读取对象列表;所述数据采集存储单元用于将各接口的数据进行统一存储;
所述日志文件接口的输出端与操作界面接口的输入端相连接;所述操作界面接口的输出端与所述运维场景接口的输入端相连接;所述运维场景接口的输出端与所述数据采集存储单元的输入端相连接。
6.根据权利要求5所述的一种基于堡垒机的网络安全运维管理系统,其特征在于:
所述运维操作记录单元从结构化数据存储文件当中提取记录的运维操作动作过程数据;所述操作环境记录单元用于根据运维操作的发生时间和采集时间,将操作数据映射到相同采集时间点的运维场景,确定当前运维操作数据相关联的特定运维场景;所述操作链大数据生成单元用于将同一个运维人员所有的运维操作和运维操作环境以结构化数据文件的形式进行存储,形成操作链大数据;
所述运维操作记录单元的输出端与所述操作环境记录单元的输入端相连接;所述操作环境记录单元的输出端与所述操作链大数据生成单元的输入端相连接;所述操作链大数据生成单元的输出端与所述运维数据场景优化单元相连接。
CN202110607274.7A 2021-06-24 2021-06-24 一种基于堡垒机的网络安全运维管理系统 Active CN113364758B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110607274.7A CN113364758B (zh) 2021-06-24 2021-06-24 一种基于堡垒机的网络安全运维管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110607274.7A CN113364758B (zh) 2021-06-24 2021-06-24 一种基于堡垒机的网络安全运维管理系统

Publications (2)

Publication Number Publication Date
CN113364758A CN113364758A (zh) 2021-09-07
CN113364758B true CN113364758B (zh) 2021-12-28

Family

ID=77530841

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110607274.7A Active CN113364758B (zh) 2021-06-24 2021-06-24 一种基于堡垒机的网络安全运维管理系统

Country Status (1)

Country Link
CN (1) CN113364758B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113938321B (zh) * 2021-12-16 2022-04-08 杭州乒乓智能技术有限公司 可扩展的运维管理系统、方法、电子设备和可读存储介质
CN114553684B (zh) * 2022-02-22 2024-02-09 中国工商银行股份有限公司 网点运维方法、装置、计算机设备、存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011047626A1 (zh) * 2009-10-22 2011-04-28 华为技术有限公司 远程命令交互方法及堡垒主机
CN106330919A (zh) * 2016-08-26 2017-01-11 国家电网公司 一种运维安全审计方法及系统
CN108366090A (zh) * 2018-01-09 2018-08-03 国网安徽省电力公司阜阳供电公司 一种调度数据网远程访问加固及集中监控的系统
CN109391693A (zh) * 2018-10-24 2019-02-26 国云科技股份有限公司 一种堡垒机支持审计web应用的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011047626A1 (zh) * 2009-10-22 2011-04-28 华为技术有限公司 远程命令交互方法及堡垒主机
CN106330919A (zh) * 2016-08-26 2017-01-11 国家电网公司 一种运维安全审计方法及系统
CN108366090A (zh) * 2018-01-09 2018-08-03 国网安徽省电力公司阜阳供电公司 一种调度数据网远程访问加固及集中监控的系统
CN109391693A (zh) * 2018-10-24 2019-02-26 国云科技股份有限公司 一种堡垒机支持审计web应用的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
关于运维安全管理系统的技术探讨――以堡垒机为例分析;陈涛;《信息通信技术》;20150215(第01期);全文 *
浅析运维堡垒机的设计和应用前景;陈健锋等;《有线电视技术》;20150515(第05期);全文 *

Also Published As

Publication number Publication date
CN113364758A (zh) 2021-09-07

Similar Documents

Publication Publication Date Title
US7185366B2 (en) Security administration server and its host server
CN113364758B (zh) 一种基于堡垒机的网络安全运维管理系统
US5684957A (en) Network management system for detecting and displaying a security hole
CN101410837B (zh) 用于进行实现信息控制的系统和方法
CN107733863B (zh) 一种分布式hadoop环境下的日志调试方法和装置
CN115733681A (zh) 一种防止数据丢失的数据安全管理平台
CN107169361A (zh) 一种数据泄露的检测方法及系统
CN113704830B (zh) 一种智能化网站数据防篡改系统及方法
CN110896386B (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
CN112463661A (zh) 一种usb设备管理系统及管理方法
CN112734057A (zh) 铁路编组站综合自动化综合运维监控系统
CN115796607A (zh) 一种基于用电信息分析的采集终端安全画像评估方法
CN113506096B (zh) 一种基于工业互联网标识解析体系的系统间接口方法
CN110826094A (zh) 一种信息泄露监控方法以及装置
CN116383786A (zh) 一种基于物联网的大数据信息监管系统及方法
CN112688929B (zh) 一种基于互联网威胁情报的共享系统
CN109412861B (zh) 一种终端网络建立安全关联展示方法
CN112463853B (zh) 通过云平台进行财务数据行为筛选工作方法
Xing [Retracted] Design of a Network Security Audit System Based on Log Data Mining
Dong et al. An improved intrusion detection system based on Agent
CN117640432B (zh) 分布式数据中心运维监控方法
Kim et al. Study of security management system based on client/server model
CN116527303B (zh) 基于标记流量对比的工控设备信息提取方法及装置
CN114519201A (zh) 基于云计算和大数据定位推送的数据处理系统
Lee et al. PCA in ERP environment using the misuse detection system design and implementation of RBAC permissions

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant